適用於端點的 Microsoft Defender Android 和 iOS 上的行動威脅防禦解決方案 (MTD) 。 通常,企業會主動保護個人電腦免受漏洞與攻擊,而行動裝置往往未被監控或保護。 即使行動平台內建了應用程式隔離和經過審核的消費者應用商店等防護措施,這些平台仍容易受到網路或其他複雜攻擊的威脅。 隨著越來越多員工在工作和存取敏感資訊時使用裝置,企業必須部署 MTD 解決方案,以保護裝置和資源免受日益複雜的行動攻擊。
主要功能
Android 與 iOS 版的 適用於端點的 Microsoft Defender 提供以下關鍵功能。欲了解最新功能與優勢,請參閱我們的公告。
| 功能 | 描述 |
|---|---|
| 網路防護 | 反釣魚、阻擋不安全的網路連線,以及支援 URL 與網域的自訂指示器。 (檔案與 IP 指示器目前不支援 ) |
| 僅 Android (惡意軟體防護) | 掃描惡意應用程式和 APK 檔案。 |
| 越獄偵測 (僅限 iOS) | 越獄裝置偵測。 |
| Android (根偵測 - 預覽) | 偵測被 root 的裝置。 |
| Microsoft Defender 弱點管理 (MDVM) | 對已接入行動裝置進行漏洞評估。 包含 Android 與 iOS 的作業系統與應用程式漏洞評估。 請造訪此頁面,了解更多關於 Microsoft Defender 弱點管理在 適用於端點的 Microsoft Defender 中的漏洞管理。 |
| 網路保護 | 防範流氓 Wi-Fi 相關威脅及流氓憑證;能夠在 Intune 中將根憑證與私有根憑證加入「允許」清單;建立與端點的信任。 |
| 統一警示 | 所有平台的警示都可在統一的 Microsoft Defender 入口網站中收到。 |
| 條件存取,條件發射 | 阻擋風險裝置存取企業資源。 Defender for Endpoint 的風險訊號也可以加入應用程式保護政策 (MAM) 。 |
| 隱私控制 | 透過控制 適用於端點的 Microsoft Defender 傳送的資料,在威脅報告中設定隱私。 隱私控制適用於管理員與終端使用者。 它同時適用於已註冊和未註冊的裝置。 |
| 與 Microsoft 隧道的整合 | 與 Microsoft Tunnel 整合,這是一個 VPN 閘道解決方案,能在單一應用程式中實現安全性與連線性。 同時適用於 Android 和 iOS。 |
所有這些功能皆開放給適用於端點的 Microsoft Defender授權持有者。 欲了解更多資訊,請參閱 執照要求。
概述與部署
適用於端點的 Microsoft Defender 可透過 Microsoft Intune 在行動端部署。 觀看此影片,快速了解MTD能力與部署:
已註冊 Intune 的裝置入職
已註冊 Microsoft Intune 的裝置可直接加入 適用於端點的 Microsoft Defender,無需重新註冊。 安裝 Defender 應用程式並指派所需設定檔後,裝置會自動完成入職程序。
Android (Intune 註冊裝置)
- 請確保裝置已在 Intune 支援的 Android Enterprise 情境中註冊。
- 透過 Intune 部署 適用於端點的 Microsoft Defender 應用程式。
- 指派 適用於端點的 Microsoft Defender 配置設定檔:
- Web 保護
- 網路保護
- 應用程式防護 (如果適用)
- 當 Defender 應用程式收到設定時,裝置會自動上線。
- 如有需要,可使用條件存取來強制使用者上線。
iOS/iPadOS (Intune 註冊裝置)
- 確保裝置已使用 ADE、Apple Configurator、裝置註冊或使用者註冊註冊。
- 透過 Intune 部署 適用於端點的 Microsoft Defender。
- 指派 Defender for Endpoint 的設定政策:
- Web 保護
- 網路保護
- 監督裝置的零觸控入 ()
- 對於監督式 ADE 或 Apple Configurator 註冊,政策交付後,應用程式會自動設定並接入,無需使用者互動。
注意事項
現有已註冊 Intune 的裝置則不需要重新註冊。 在 Defender 應用程式與 MTD 設定政策交付給裝置後,自動進行入職程序。
部署
下表總結如何在 Android 和 iOS 上部署 適用於端點的 Microsoft Defender。 詳細文件請參閱以下條目:
支援的 Android 註冊場景
| 案例 | 裝置上需要公司入口網站應用程式嗎? | 保護設定檔/前置條件 | 部署方式 |
|---|---|---|---|
| Android 企業級個人擁有使用工作設定檔的裝置 | 是 | 它只保護工作資料區塊。 了解更多工作檔案 | 在 Android 上使用 Microsoft Intune 部署適用於端點的 Microsoft Defender |
| Android Enterprise 個人擁有的裝置使用個人設定檔 | 是 | 保護個人檔案。 當客戶同時遇到工作設定檔的情境時,系統會保護整個裝置。 請注意:公司入口網站應用程式必須在個人個人檔案啟用,且 Microsoft Defender 必須已安裝且啟用工作個人資料,才能在個人檔案中啟用 Microsoft Defender。 | 在 Android 上使用 Microsoft Intune 部署適用於端點的 Microsoft Defender |
| Android 企業擁有的工作設定檔 (COPE) | 是 | 它只保護工作資料區塊。 公司入口網站應用程式和 Microsoft Intune 應用程式都會自動安裝。 | 在 Android 上使用 Microsoft Intune 部署適用於端點的 Microsoft Defender |
| Android Enterprise 企業擁有的全託管系統——沒有工作設定檔 (COBO) | 是 | 保護整個裝置。 公司入口網站應用程式和 Microsoft Intune 應用程式都會自動安裝。 | 在 Android 上使用 Microsoft Intune 部署適用於端點的 Microsoft Defender |
| MAM | 是的, (只需要安裝,設定不一定) | 只保護已註冊的申請。 MAM 支援有無裝置註冊或非 Microsoft 企業移動管理系統。 | 使用 App Protection Policies (MAM) 在 Android 上設定 適用於端點的 Microsoft Defender 風險訊號 |
| 裝置管理員 (於 2024 年 12 月 31 日被棄用) | 是 | Intune 與 Defender for Endpoint 將於 2024 年 12 月 31 日終止對使用 Google Mobile Services (GMS) 裝置的裝置管理支援。 | 在 Android 上使用 Microsoft Intune 部署適用於端點的 Microsoft Defender |
不支援的 Android 註冊情境
以下情境目前不支援:
- Android 企業擁有的個人檔案
- Android Enterprise 企業擁有的專用裝置 (COSU) (自助服務機/共享)
- Android Open-Source Project (AOSP)
支援的 iOS 註冊情境
| 案例 | 裝置上需要公司入口網站應用程式嗎? | 保護設定檔/前置條件 | 部署方式 |
|---|---|---|---|
| ADE 與 Apple Configurator 註冊 (監督裝置 | 是 | 保護整個裝置。 對於 ADE,如果使用 Just in Time (JIT) 註冊的用戶,公司入口應用程式就不是必須的,因為應用程式會自動連接Intune伺服器來註冊裝置 | 在 iOS 上部署 適用於端點的 Microsoft Defender Microsoft Intune |
| 非監督裝置 (裝置註冊) | 是 | 保護整個裝置。 對於網頁裝置註冊,公司入口網站應用程式並非必需,因為受管理應用程式登入後,應用程式會直接下載設定政策,而非公司入口網站應用程式 | 在 iOS 上部署 適用於端點的 Microsoft Defender Microsoft Intune |
| 非監督裝置 (使用者註冊) | 是 | 保護整個裝置,唯獨 TVM 功能除外,因為只有管理員推送的工作應用程式會受到保護。 網路保護是在裝置層級運作,會掃描所有應用程式的網路流量。 | 在 iOS 上部署 適用於端點的 Microsoft Defender Microsoft Intune |
| MAM | 否 | 只保護已註冊的申請。 VPN 可以存取整個裝置,並能掃描所有應用程式流量 | 在 iOS 上部署 適用於端點的 Microsoft Defender,並具備行動應用程式管理功能 |
不支援的 iOS 註冊情境
iOS 專用/共享/自助服務終端裝置註冊不支援。
Android 低接觸入門支援情境
- Android 企業級個人擁有使用工作設定檔的裝置
- Android 企業擁有的工作設定檔 (COPE)
- Android 企業自有的全託管系統——沒有工作設定 (COBO)
iOS 零觸控入門支援情境
- ADE 與 Apple Configurator 註冊 (監督裝置)
- 無監督裝置 (裝置註冊)
終端用戶入職
為 iOS 註冊裝置設定零觸控機載:管理員可設定零點式安裝,在註冊 iOS 裝置上靜默地接載 適用於端點的 Microsoft Defender,無需使用者開啟應用程式。
設定條件存取以強制使用者上線:此功能可用於確保終端用戶在部署後能順利接入 適用於端點的 Microsoft Defender 應用程式。 請觀看這支影片,快速示範如何用 Defender for Endpoint 風險訊號設定條件存取。
簡化新手導入流程
試點評估
在評估行動威脅防禦時,適用於端點的 Microsoft Defender 可以確認符合某些條件,然後再部署服務到更多裝置。 你可以定義退出標準,並確保在廣泛部署前達成。
這有助於降低服務推出過程中可能出現的問題。 以下是一些可能有幫助的測試和退出標準:
- 裝置顯示在裝置清單中:在行動裝置成功啟用 Defender for Endpoint 後,請確認該裝置是否列在 Microsoft Defender 入口網站的裝置清單中。
執行釣魚測試:瀏覽
https://smartscreentestratings2.net並確認該網站是否被 適用於端點的 Microsoft Defender 封鎖。 在 Android Enterprise 上,只有工作設定檔才被支援。警示會出現在儀表板:確認先前提到的偵測測試警示是否出現在 Microsoft Defender 入口網站。
需要協助在 Android & iOS 上部署或設定 Defender for Endpoint 嗎? 如果你擁有至少 150 個產品的授權,請使用 FastTrack 的福利。 想了解更多FastTrack資訊,請造訪Microsoft FastTrack。
設定
資源
- Android 上適用於端點的 Microsoft Defender
- iOS 上適用於端點的 Microsoft Defender
- 請閱讀我們的 公告,隨時掌握即將發行的資訊。